【導讀】.論文的內容和意義...本文的章節(jié)安排?第二章分析與設計需求.,??..移動存儲設備濫用?.系統(tǒng)設計目標與性能指標?..補丁自動分發(fā)??.接入阻斷技術...違規(guī)外聯(lián)探測技術..增量傳輸技術?.代理轉發(fā)技術?.其他具體功能技術...數(shù)據(jù)庫訪問設計..數(shù)據(jù)庫安全設計..數(shù)據(jù)庫邏輯設計..數(shù)據(jù)庫物理設計.信息部門工作的重中之重。保護信息安全的常用手段是保護網絡、服務器和。機內網終端管理,才能保障單位內網信息系統(tǒng)的安全。各個子系統(tǒng)間的關系,分析了該架構與其他應用系統(tǒng)的接口。相應策略,以確保系統(tǒng)的正常有效運行以達到預期目標。過去一些安全產品,防火墻和入侵檢測。的防護,這是對待信息安全問題認識上的一個誤區(qū)。安全保障體系建設中的難題和障礙,解決大批量計算機安全管理的困難。網絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)、信息安全綜合審計系統(tǒng)等,通過這些措施,位在終端安全管理上處于空白狀態(tài)。因此,我們在市場調研的基礎上,選擇了

　　

【正文】 到一定的影響 ,所以在必要時才使用“鉤子 ,并在使用 完畢后要及時將其刪除。 函數(shù)的安裝。 : : : :: 參數(shù)說明 : 是“鉤子的類型 ,“鉤子”的類型一共有種 ,具體如下 : ?? 系統(tǒng)將消息發(fā)送到指定窗口之前的“鉤子 內網終端安全管理系統(tǒng)的設計與 實現(xiàn) 第三章系統(tǒng)設計技術與核心應用說明 消息已經在窗口中處理的“鉤子 聊 . 基于計算機培訓的“鉤子 ?? 差錯“鉤子 前臺空閑窗口“鉤子 接收消息投遞的“鉤子” 『 ? 回放以前通過“鉤子記錄的輸入消息 輸入消息記錄“鉤子” 鍵盤消息“鉤子 ?? 鼠標消息“鉤子 】『 對話框、消息框、菜單或滾動條輸入消息“鉤子’’ 外殼“鉤子 ? 系統(tǒng)消息“鉤子 指向“鉤子過程的指針。 “鉤子過程所在模塊的旬柄。 “鉤子’’監(jiān)視的線程。 函數(shù)的返回值是安裝的鉤子的句柄。使用時要注意第二個參數(shù)一般要進行類 型轉換 ,如 : 一 , ,: 利用技術細 ,可以鉤掛特定的函數(shù) ,截獲函數(shù)的相關數(shù)據(jù)。 本系統(tǒng)中我們主要用于鉤掛函數(shù)截獲設備變動消息 ,然后 通過枚舉所有設備來找出該存儲設備的進行匹配認證。該系統(tǒng)可以禁止內網終端安全管理系統(tǒng)的設計與實現(xiàn) 第三章系統(tǒng)設計技術與核心應用說明 未經認證的移動存儲設備接入內網 ,防止泄密以及盤病毒傳播。 .其他具體功能技術 包過濾技術 根據(jù)協(xié)議類型、訪問區(qū)域等通過軟件對進出終端的數(shù)據(jù)流進行有選擇的控制 與操作。 策略設計精細技術 策略的有效時段 :策略可按照各種時段和起止點設定器是否生效。 策略統(tǒng)一問題 :設計解 決了大型用戶的多級級聯(lián)的策略統(tǒng)一問題 ,策略也可 以對下級管理區(qū)域以至所有的管理區(qū)域進行鎖定 ,以達到方便管理的目的。 策略對象分組方案 :可以按照創(chuàng)建區(qū)域、范圍、操作系統(tǒng)、搜索設備、 自定義組或所有設備進行策略對象分配 ,同一策略可以對應多個分配對象 ,用戶 可以十分方便的使用。 精細的劃分用戶的權限 ,可以規(guī)定每個用戶管理的區(qū)域等。 內網終端安全管理系統(tǒng)的設計與實現(xiàn) 第四章系統(tǒng)總體設計 第四章系統(tǒng)總體設計 現(xiàn)代網絡安全管理體系日臻完善 ,外部威脅已經相對較小 ,而相對內部用戶 的違規(guī)操作、終端脆弱等帶來的威脅 ,已經成為 嚴重影響工作效率和信息安全的 主要威脅。通過近年對國內外終端安全管理技術和發(fā)展趨勢的研究 ,針對政府機 關和企事業(yè)單位內部網絡及終端安全管理 ,我單位設計了一套采用 /與 /混 合模式、支持分布式部署、模塊化定制、支持標準、無縫功能擴展等技術要 求的網絡終端安全管理系統(tǒng)。 在內網終端安全管理系統(tǒng)設計中遵循網絡防護和端點防護并重理念 ,對網絡 安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案 ,實 現(xiàn)內部網絡終端的可控管理 ,并能夠支持多級級聯(lián)廣域網構架 ,達到最佳的管理 效果。內網終端安全管理系統(tǒng)強化了對 網絡計算機終端狀態(tài)、行為以及事件的管 理 ,它提供了防火墻、防病毒系統(tǒng)、專業(yè)網管軟件所不能提供的防護功能 , 對它們管理的盲區(qū)進行監(jiān)控 ,擴展成為一個實時的可控內網管理平臺 ,并能夠同 其它安全設備進行安全集成和報警聯(lián)動。 .系統(tǒng)架構設計 系統(tǒng)采用 //模式進行信息收集和監(jiān)控策略實施 ,在管理 端安裝配置好設備管理器集成設備掃描器、數(shù)據(jù)庫等 ,客戶端進行數(shù)據(jù)采集 和對客戶端的控制管理 ,網絡管理人員在管理端統(tǒng)一進行策略控制。 系統(tǒng)采用 /結構進行維護和管理 ,前臺使用瀏覽方式對用戶進行管理 和注冊 ,后臺通過數(shù)據(jù)庫對用戶數(shù)據(jù)加 以統(tǒng)計和存儲。管理員可在網絡的任 何客戶端通過登錄內網管理服務器的管理頁面進行管理和各種信息查詢 。所有的 網絡客戶端需要安裝客戶端程序以對其進行監(jiān)控和管理。 網絡通過內網安全管理服務器對全網進行網絡客戶端的各種策略和配置、違 規(guī)聯(lián)網監(jiān)控、入網設備聯(lián)網狀況監(jiān)控、內網移動存儲介質安全管理 ,并對客戶端 進行各種行為和狀態(tài)的監(jiān)控。網絡客戶端上的客戶端程序可將各種網絡客戶端的 狀態(tài)信息、日志信息和報警信息上報 ,可對異常計算機進行斷網等處理 ,也可通 過系統(tǒng) ,對客戶端進行遠程故障診斷和維護。內網終端安全管理系統(tǒng)的設計與實 現(xiàn) 第四章系統(tǒng)總體設計 管理服務器 網 圖 /管理模型 .系統(tǒng)模塊設計 此系統(tǒng)主要由區(qū)域管理器集成區(qū)域掃描器、客戶端程序、中央管理 控制平臺、管理信息庫模塊這些部分構成。系統(tǒng)功能模塊邏輯圖如圖所示 : 數(shù)據(jù)交換 數(shù)據(jù)庫 配置管理平臺 ???叫 指令 :策略獲取 一指令下達 狀態(tài) :數(shù)據(jù)上報 數(shù)據(jù)交換 區(qū)域掃描器 區(qū)域管理器 指令下達 掃描發(fā)現(xiàn) 注冊、驗證 阻斷違規(guī) 管理 客戶端程序內網終端安全管理系統(tǒng)的設計與實現(xiàn) 第四章系統(tǒng)總體設計 圖 ?系統(tǒng)模塊流程圖 .. 管理配置平臺 本系統(tǒng)的管理配置中心。用戶可在網頁方式的管 理控制臺上進行系統(tǒng)應用策 略制訂 ,配置系統(tǒng)的各項功能參數(shù) ,進行系統(tǒng)用戶維護等各種配置操作 。管理配 置平臺同時可以顯示狀態(tài)信息、報警信息和各種日志記錄等各種信息。所有操作 的過程和結果均存儲在管理信息庫中。具體功能如下 : 系統(tǒng)管理模塊 用戶登陸系統(tǒng)后首先進入系統(tǒng)管理中心 ,對需要管理的區(qū)域進行區(qū)域劃分與 配置 ,之后可對區(qū)域管理器、區(qū)域掃描器進行相應的配置。此外 ,系統(tǒng)還提供部 門配置與管理、設備接入管理、注冊程序配置等功能 ,方便用戶按自己所需進行 符合自身實際情況的配置。 策略管理中心 系統(tǒng)將所有控制功能分類地集 成在一個中央策略管理中心完成 ,所有的策略 都可以通過這個策略中心進行設定和部署。同時 ,各項功能可根據(jù)需求按不同登 錄用戶進行屏蔽或開放。 中央策略管理中心擁有策略網絡限制功能 ,根據(jù)情況將已制定策略實施于所 有網絡或僅限于內網。策略管理中心的策略是通過格式進行描述 ,充分的滿 足了功能的快速擴展性和版本兼容性 ,使得用戶需求在短期內即可完成對整體需 求的配置。 數(shù)據(jù)查詢模塊 用戶可以通過該數(shù)據(jù)查詢中心查詢到策略的執(zhí)行效果 ,符合策略中心所制定 策略的目標機器條件都可以查出。并可以顯示機器的硬件和軟件配置信息。以上 都是對已經在區(qū)域管理器上已經注冊的機器而言。 系統(tǒng)維護模塊 該模塊提供對用戶權限的劃分和數(shù)據(jù)的重整。系統(tǒng)在此模塊中設置了超級用 戶和普通用戶 ,方便用戶對系統(tǒng)管理權限的劃分。并且提供管理員設置 ,增強了 系統(tǒng)的安全性。數(shù)據(jù)重整可以對設備信息進行整理 ,方便用戶當改變、長時 間未開機等情況下對設備信息進行整理更改。內網終端安全管理系統(tǒng)的設計與實現(xiàn) 第 ,章系統(tǒng)總體設計 ..區(qū)域管理器 它是系統(tǒng)數(shù)據(jù)處理中心。從管理信息庫獲取來自控制臺的各種策略和命令操 作 ,發(fā)送到客戶端程序和掃描器執(zhí)行。區(qū)域管理器同時接收掃描器的信息和客戶 端程序提供的各類狀態(tài)和報警信息 ,發(fā)送至管理信息庫 ,以備管理人員通過中央 管理配置平臺查閱。 各種策略和數(shù)據(jù)通過管理器下達給客戶端 ,客戶端的策略執(zhí)行結果通過管理 器上報并存儲在管理信息庫中。 上級區(qū)域和下級區(qū)域之間的命令和數(shù)據(jù)均通過上下級區(qū)域管理器傳達。 管理器具體功能如下 : 接收掃描器信息和客戶端程序信息 。 對本系統(tǒng)中所有通訊數(shù)據(jù)進行處理 ,包括設備信息數(shù)據(jù)入庫處理、命 令信息發(fā)送、終端數(shù)據(jù)上報等進行一一審計分類 ,同時對報警信息提供篩選 ,屏 蔽無用報警信息 。 發(fā)送策略至客戶端 ,通知客戶端程序接收策略。 對客戶端進行補丁分發(fā)。 ..區(qū)域掃描器 區(qū)域掃描器集成在區(qū)域管理器中 ,用來掃描和發(fā)現(xiàn)網絡中設備及其狀態(tài) ,巡 檢網絡設備狀態(tài)變化信息 ,并將這些信息通過區(qū)域管理器上報至管理信息庫 。并 將部分控制信息傳遞給客戶端。具體功能如下 : 通過掃描發(fā)現(xiàn)網絡中的設備及其有關狀態(tài)如開、關機 ,是否安裝客 戶端程序 。 通過掃描發(fā)現(xiàn)當前網絡的資源占用情況 。 調度客戶端程序對未知的客戶端進行阻斷 。 對客戶端代理軟件進行升級 。 向區(qū)域管理器上報掃描發(fā)現(xiàn)的各種信息及掃描器本身狀態(tài)信息 。 對進行未知的或異常的客戶端阻斷。 ..客戶端程序 客 戶端程序接收并執(zhí)行管理器制訂的策略 ,在系統(tǒng)中是充當策略執(zhí)行者的角第四章系統(tǒng)總體設計 內網終端安全管理系統(tǒng)的設計與實現(xiàn) 色 ,運行在客戶機上 ,可以采集客戶端種所有管理員關心的信息 ,如 :客戶端流 量、并發(fā)連接等相關信息 ,并將這些信息上報到區(qū)域管理器 ,還可以監(jiān)控客戶端 是否有違規(guī)聯(lián)網行為并對客戶端進行訪問控制。此外客戶端程序運行在客戶機器 上也充當了監(jiān)督者的角色 ,如 :對客戶端的進程運行情況、服務運行情況、權限 變化等進行掃描。對移動設備接入控制。 客戶端程序除了可以接收管理器的下發(fā)策略外還可以接收掃描器命令 ,該命 令主要是阻斷未安裝客戶端程序的客戶端入網 具體功能如下 : 接收并執(zhí)行管理器置定的策略 。 采集客戶端種所有管理員關心的信息 ,具備入軟硬件信息、進程以及 資源消耗盒各種狀態(tài)等 ,并上報至區(qū)域管理器 。 根據(jù)策略自動獲取文件并執(zhí)行 。 將采集的信息上報到設